セキュリティ対策は、一筋縄ではいきません。現場によって利用環境や体制などが大きく異なり、セキュリティベンダーが語る「あるべき論」は、そのままでは当てはまらないからです。
この連載では、さまざまなセキュリティ施策が、実際の現場でどのように運用されているのか「現場の知恵」を伝えていきます。
セキュリティ対策は、一筋縄ではいきません。現場によって利用環境や体制などが大きく異なり、セキュリティベンダーが語る「あるべき論」は、そのままでは当てはまらないからです。
この連載では、さまざまなセキュリティ施策が、実際の現場でどのように運用されているのか「現場の知恵」を伝えていきます。
昨今の標的型攻撃を検知して、守り切れる組織はほとんどないのが実状だと思います。というのも、標的型攻撃に使われるマルウエアが極めて高度化し、かつ猛烈な勢いで新種や亜種が出現しているからです。
企業が独自開発したアプリケーション、特にWebアプリの脆弱性対策は、以前からその重要性が指摘されてきました。特に2005年前後には、SQLインジェクションという脆弱性が悪用されて、個人情報の漏えいやWebの改竄といった被害が相次ぎ表面化しました。
近年、サイバー攻撃が極めて高度化しています。この状況を憂慮して、CSIRT(Computer Security Incident Response Team)というセキュリティの専門チームを設ける企業が急増しています。CSIRTの役目は、セキュリティインシデントへの対処だけではありません。
「暗号」は、ITを安全に利用する上で必要不可欠の技術です。例えば、PCやスマートデバイスのWebブラウザーからインターネットバンクやオンラインショップを利用する際は、アクセスプロトコルにHTTPではなく、暗号化したHTTPS(SSL/TLSプロトコル)を使うのが一般的になっています。
セキュリティ対策は、一筋縄ではいきません。現場によって利用環境や体制などが大きく異なり、PCI DSSなどの業界標準やセキュリティベンダーが語る「あるべき論」を、そのまま当てはめれば済むというものではないからです。